Desde se­p­tie­m­bre de 2019, se aplican nuevos re­qui­si­tos para au­te­n­ti­car los pagos online en la Unión Europea y en otros estados del Espacio Económico Europeo (EEE). Estos forman parte de la segunda directiva de servicios de pago, también conocida ofi­cia­l­me­n­te como PSD2 (Payment Services Directive 2). Se espera que la apli­ca­ción de estos nuevos re­qui­si­tos finalice en 2021.

Un elemento im­po­r­ta­n­te de la segunda directiva de la UE para las tra­n­sac­cio­nes es la Strong Customer Au­the­n­ti­ca­tion o PSD2 SCA. Ana­li­za­mos los re­qui­si­tos de esta au­te­n­ti­ca­ción, ya que detrás de ella hay toda una serie de re­qui­si­tos legales, todos ellos con el objetivo de hacer más seguros los pagos en Internet.

¿Qué es el SCA y qué significa su apli­ca­ción para tus futuros pagos? ¿A qué pagos afecta esta normativa, qué ex­ce­p­cio­nes hay y cómo se puede optimizar el proceso de pago? Te lo ex­pli­ca­mos a co­n­ti­nua­ción.

¿Qué es el SCA (Strong Customer Au­the­n­ti­ca­tion)?

¿Qué es el SCA y qué significa para tus futuros pagos? En pocas palabras, la Strong Customer Au­the­n­ti­ca­tion, también conocida como au­te­n­ti­ca­ción reforzada de clientes, forma parte de una nueva normativa de la UE que pretende hacer más seguros los pagos online mi­ni­mi­za­n­do las po­si­bi­li­da­des de fraude. Su principal in­no­va­ción es un paso adicional de au­te­n­ti­ca­ción que precede al pago final.

Según la normativa de la PSD2 SCA, los pagos online solo se au­te­n­ti­ca­rán si se cumplen dos de los tres pasos si­guie­n­tes:

  1. Co­no­ci­mie­n­to: el usuario debe in­tro­du­cir una co­n­tra­se­ña o PIN que solo él conoce.
  2. Propiedad: el usuario utiliza un di­s­po­si­ti­vo de es­cri­to­rio, Sma­r­t­pho­ne, sma­r­t­wa­t­ch o una tarjeta in­te­li­ge­n­te, una tarjeta con chip o un token de hardware de su propiedad para la tra­n­sac­ción.
  3. In­he­re­n­cia: el usuario se ide­n­ti­fi­ca mediante huella dactilar, escáner facial, re­co­no­ci­mie­n­to de voz, formato de iris o similar.
Nota

La Autoridad Bancaria Europea (ABE) ha creado una lista detallada de los elementos que cumplen los tres pasos de au­te­n­ti­ca­ción en un documento .docx.

La Strong Customer Au­the­n­ti­ca­tion es, por tanto, lo que se denomina una au­te­n­ti­ca­ción de dos factores, que se asegura por partida doble de la identidad del usuario.

Este principio es in­di­s­pe­n­sa­ble desde hace mucho tiempo en muchos ámbitos online, pero este paso adicional de seguridad no era obli­ga­to­rio para las tra­n­sac­cio­nes online hasta ahora. No­r­ma­l­me­n­te los clientes debían si­m­ple­me­n­te in­tro­du­cir sus datos de pago durante la compra para co­m­ple­tar­la. Aunque algunas empresas llevan tiempo in­tro­du­cie­n­do una au­te­n­ti­ca­ción adicional, la PSD2 SCA obliga a im­ple­me­n­tar este paso adicional a todos los pro­vee­do­res.

¿Cuándo y por qué se introdujo la PSD2 SCA?

La segunda Directiva de Pagos de la UE ya se introdujo el 14 de se­p­tie­m­bre de 2019. Sin embargo, todavía hay un plazo hasta que finalice el año para que todos los re­qui­si­tos se apliquen por completo. La historia de la Strong Customer Au­the­n­ti­ca­tion se remonta aún más atrás.

La directiva de la UE se basa en tres áreas clave de la le­gi­s­la­ción de 2007. En aquel momento, al igual que ahora, la Unión Europea se preo­cu­pa­ba por lo siguiente:

  1. Reforzar los derechos de los co­n­su­mi­do­res en las ope­ra­cio­nes de pago.
  2. Crear igualdad de co­n­di­cio­nes regulando el acceso de terceros a la in­fo­r­ma­ción de las cuentas.
  3. Mejorar la seguridad de todas las partes.

Estos aspectos se im­ple­me­n­ta­ron en la primera edición de la Directiva de Servicios de Pago (PSD, por sus siglas en inglés). Sin embargo, desde su in­tro­du­c­ción, los avances te­c­no­ló­gi­cos en las tra­n­sac­cio­nes de pago se han ido de­sa­rro­lla­n­do a una gran velocidad: el número de servicios de pago online y de TTP (Third Party Providers) también creció, lo que ofrecía formas to­ta­l­me­n­te nuevas para que los co­m­pra­do­res pagasen fácil y rá­pi­da­me­n­te. Por otro lado, esto también permitió a los ve­n­de­do­res acceder a la in­fo­r­ma­ción de las cuentas de los clientes.

Esto dejaba abierto un acceso a las cuentas de los co­n­su­mi­do­res, lo que suponía un gran riesgo de seguridad. La reacción no tardó en llegar en forma de leyes que regulan la forma en que los TTP y los pro­vee­do­res de servicios de pago acceden a las cuentas de los clientes.

La Strong Customer Au­the­n­ti­ca­tion es ahora el siguiente paso para reducir el fraude en las tra­n­sac­cio­nes online. Al ser obli­ga­to­ria en toda la UE, esta te­c­no­lo­gía debe uti­li­zar­se en todas las tra­n­sac­cio­nes fi­na­n­cie­ras que se realicen. La ley afecta a todos aquellos pro­vee­do­res de servicios de pago o pro­vee­do­res de tarjetas que estén radicados en el Espacio Económico Europeo (EEE). Por lo tanto, incluso para las empresas online con sede fuera de Europa, las tra­n­sac­cio­nes pueden estar sujetas a la Strong Customer Au­the­n­ti­ca­tion, si el pago se realiza a través de un banco del Espacio Económico Europeo.

Esta ley europea también afecta a los pro­vee­do­res situados fuera del EEE. Por este motivo los nuevos re­qui­si­tos de au­te­n­ti­ca­ción en los pagos online son tan complejos. Los pro­vee­do­res de servicios de pago ya han so­li­ci­ta­do en varias ocasiones un retraso en la apli­ca­ción de la PSD2 SCA, pero aún no se ha fijado un plazo concreto.

¿En qué consiste la te­c­no­lo­gía de la SCA?

El 3D Secure es el protocolo de au­te­n­ti­ca­ción más utilizado en los pagos online. Es co­m­pa­ti­ble con la mayor parte de las tarjetas de débito y crédito europeas y es, por tanto, el más utilizado. Justo antes de terminar el proceso de pago, se solicita al titular de la tarjeta que pro­po­r­cio­ne in­fo­r­ma­ción adicional. Esto puede ser la in­tro­du­c­ción de un TAN de teléfono móvil o una huella dactilar a través de una apli­ca­ción bancaria.

La Strong Customer Au­the­n­ti­ca­tion utiliza la nueva versión 3D Secure 2, que convierte el protocolo de au­te­n­ti­ca­ción en el principal método para au­te­n­ti­car los pagos con tarjeta online. Los cambios de la nueva versión sirven pri­n­ci­pa­l­me­n­te para mejorar la ex­pe­rie­n­cia del usuario. Los pagos online pueden rea­li­zar­se de forma fácil y rápida a pesar de los pasos adi­cio­na­les de au­te­n­ti­ca­ción.

Si ya pagas con Apple Pay o con Google Pay, ya utilizas una opción de pago online con el nuevo paso de au­te­n­ti­ca­ción integrado. Ambos pro­vee­do­res ya han im­ple­me­n­ta­do pasos bio­mé­tri­cos y pro­te­gi­dos con co­n­tra­se­ña. A la vez, el proceso de pago es muy fácil para los clientes, un ejemplo de la te­c­no­lo­gía de la que consta la PSD2 SCA.

¿Para qué tra­n­sac­cio­nes es necesaria la Strong Customer Au­the­n­ti­ca­tion?

La PSD2 SCA se aplica siempre que un cliente tra­n­s­fie­re dinero o accede a su cuenta en el Espacio Económico Europeo. Por ello, la Strong Customer Au­the­n­ti­ca­tion es obli­ga­to­ria siempre que:

  • Un cliente acceda a su cuenta online
  • Un cliente ordene una operación de pago online
  • Un cliente corra el riesgo de sufrir un fraude en el pago mediante una tra­n­sac­ción online

Como ocurre con cualquier ley, existen ex­ce­p­cio­nes a la norma del PSD2 SCA, por ejemplo, el pago de su­s­cri­p­cio­nes. En estos casos, la Strong Customer Au­the­n­ti­ca­tion solo es necesaria cuando se da el co­n­se­n­ti­mie­n­to a la su­s­cri­p­ción, pero no durante el resto de pagos. Otras posibles ex­ce­p­cio­nes son los pagos de bajo riesgo, en los que la Strong Customer Au­the­n­ti­ca­tion no es obli­ga­to­ria e incluso podría ser pe­r­ju­di­cial.

Nota

No todos los bancos pueden integrar fá­ci­l­me­n­te pasos adi­cio­na­les de au­te­n­ti­ca­ción en sus procesos. Si pueden ga­ra­n­ti­zar la seguridad y la mi­ti­ga­ción de los riesgos de otra manera y así lo de­mue­s­tran, también pueden aplicarse ex­ce­p­cio­nes.

A su vez existen límites para las tra­n­s­fe­re­n­cias de importes pequeños: por ejemplo, las tra­n­sac­cio­nes con un valor de menos de 30 euros se co­n­si­de­ran de importe menor y en principio pueden estar exentas de la PSD2 SCA. Sin embargo, para no permitir los fraudes numerosos de menor cuantía, ya existen normas para este tipo de importes:

  1. Los bancos deben realizar una Strong Customer Au­the­n­ti­ca­tion aunque la tarjeta esté exenta de ello si ya ha sido utilizada más de cinco veces sin au­te­n­ti­car­se.
  2. Si la suma de tra­n­sac­cio­nes supera los 100 euros, la PSD2 SCA se aplicará en la siguiente tra­n­sac­ción, in­de­pe­n­die­n­te­me­n­te de su importe.

Estas ex­ce­p­cio­nes son muy prácticas para empresas online pequeñas. Se ha de tener en cuenta, sin embargo, que al final es el banco del cliente el que decide si estas ex­ce­p­cio­nes se llevan a cabo. Para no perder ningún cliente, es aco­n­se­ja­ble ofrecer di­fe­re­n­tes po­si­bi­li­da­des que estén en co­n­so­na­n­cia con el PSD2 SCA.

Ir al menú principal